Ataque de Phishing: o que é e como não cair nessa?

Phishing, já ouviu falar? Mesmo que não, é bem provável que, pelo menos uma vez, você já tenha sido exposto a esse perigo. 

A internet está cheia de gente que quer se dar bem às custas dos outros e, no mundo crypto, é mais importante ainda ficar bem ligado. 

Um dos métodos mais conhecidos para ter acesso a informações pessoais é o phishing. Ele pode vir sob o formato de e-mails super legais, páginas web sedutoras ou de várias outras formas. 

Mas, independentemente do meio usado no phishing, o objetivo é sempre o mesmo: descobrir algo que você não deveria contar nem pro seu melhor amigo. 

Hoje nós vamos falar sobre tudo o que você precisa saber sobre o que é phishing, quais são suas ‘apresentações’ e como evitar cair nessa. 

Segue com a gente!

anzol em um email pra mostrar o que é phishing

Afinal de contas, o que é phishing?

Phishing é um tipo de ataque cibernético usado para roubar vários tipos de dados de um usuário, incluindo informações pra fazer login de uma conta ou mesmo para descobrir os números de um cartão de crédito. 

Um ataque de phishing geralmente funciona assim: alguém se faz passar por uma uma pessoa ou instituição de confiança e tenta fazer com que o usuário abra um e-mail, uma mensagem nas redes sociais ou inclusive um SMS.

Dentro da mensagem, o mais comum é encontrar um convite para clicar num link específico. A consequência desse simples ‘clique’ pode ser a instalação de um malware (um termo geral para qualquer tipo de software com intenção maliciosa) no seu dispositivo. 

Entre os efeitos, o usuário pode passar por um bloqueio do acesso a seu sistema por causa de um ataque de ransomware (um tipo de malware que impede o usuário de entrar no seu próprio aparelho, conta ou arquivo).

O que também pode acontecer é que a vítima tenha suas informações confidenciais roubadas. Senhas salvas, usuários de login, números de documentos, etc. 

Um ataque de phishing pode dar origem a uma enorme variedade de problemas para a vítima, tais como compras não autorizadas, roubo de fundos ou mesmo ter sua identidade clonada!

Como se planeja um phishing?

Os cibercriminosos começam identificando um grupo de pessoas que querem atingir e mandam um e-mail ou outro tipo de comunicação para ver se o contato funciona.

Essas mensagens costumam incluir textos que têm toda cara de que dá para confiar sem problemas, mas que na realidade contém links maliciosos. Se o hacker conseguir conquistar a confiança do usuário, vai pedir informação confidencial em algum momento. 

Os phishers tentam sempre provocar algum tipo de emoção nas pessoas: medo, curiosidade, urgência e ganância estão entre as ‘mais eficientes’ para obrigar os destinatários a abrir anexos ou a clicar em links. 

No geral, as pessoas são propensas a cair nesses esquemas. Em primeiro lugar, por falta de informação e conhecimentos sobre o assunto. Em segundo, porque esse tipo de ataque é pensado em todos os detalhes pra parecer que são de empresas e indivíduos legítimos.

E como o crime não para, os phishers estão sempre inovando e ficando mais sofisticados. Por isso, é fundamental ser capaz de identificar red flags, os sinais que indicam que é roubada.

imagem de alerta de phsihing

A história do phishing

O termo phishing surgiu em meados da década de 1990, quando os hackers começaram a mandar e-mails fraudulentos para procurar, ou fish for informação de usuários desprevenidos. 

E já que os primeiros hackers eram frequentemente chamados de ‘phreaks’, a palavra phishing (com ph) começou a ser usada no lugar de fishing. 

Nos anos 90, um portal web americano, fornecedor de serviços online e com sede em Nova Iorque, chamado AOL, estava ficando cada vez mais popular. 

Os hackers tiraram proveito desta situação e começaram a fazer phishing e mandar mensagens instantâneas para se passarem por funcionários da AOL, enganando os usuários e pedindo para eles  divulgarem as suas informações de acesso e, assim, entrarem direto nas suas contas. 

Em 2000, os hackers focaram em contas bancárias e começaram a mandar e-mails de phishing para enganar usuários e fazê-los divulgar informações privadas.

Como? Os e-mails tinham um link para um website que parecia a página oficial do banco, mas o domínio do site era uma variação parecidíssima da URL da página oficial (por exemplo: lem0n.me em vez de lemon.me). 

Com o passar dos anos, os phishers criaram novas formas de ataques para terem acesso a dados pessoais que permitissem que eles entrassem em todo tipo de conta pessoal. 

Tipos de phishing

O phishing acabou virando algo mais  do que simplesmente roubar dados de acesso. Além disso, a forma como um hacker ataca depende muito do tipo de phishing.

Os tipos de phishing mais comuns são:

Spear phishing

Sabe o que é spear phishing? São simples e aparentemente inofensivas mensagens de e-mail enviadas a indivíduos específicos dentro de uma organização, geralmente para titulares de contas bancárias com certos benefícios ou gente com acesso à informações confidenciais da empresa.

Manipulação de links

As mensagens desse tipo de phishing contêm um link para um website malicioso que parece totalmente oficial.

CEO Fraud

Essas mensagens são geralmente enviadas a pessoas que trabalham nas finanças na tentativa de fazê-las acreditar que o CEO ou outro executivo está pedindo uma transferência de dinheiro.

Manipulação de conteúdo

Um hacker pode colocar partes de  um conteúdo malicioso em uma página oficial para fazer com que os usuários cliquem e sejam levados à uma aba maliciosa ou diretamente para um website de phishing.

Malware

Aqui, os usuários clicam em um link ou abrem um anexo para fazer o download de malwares que se instalam nos seus dispositivos.

Smishing 

Esse é mandado via SMS. Os hackers fazem os usuários entrarem em páginas web maliciosas a partir dos seus celulares.

Search engine phishing

Também conhecido como envenenamento de SEO, nessa modalidade os hackers trabalham para se tornarem o principal resultado de uma pesquisa em particular, geralmente em buscadores como o Google. 

Uma pessoa pesquisa algo, vê um resultado que parece resolver sua dúvida ou necessidade e entra na página. Ao clicar no link, é direcionada para o site do hacker e, a partir daí, as informações são roubadas enquanto o internauta interage com o site e/ou compartilha dados confidenciais.

Como não cair em um phishing?

A proteção contra ataques de phishing exige que tanto os usuários como as empresas tomem medidas. 

No caso dos usuários, estar atento é fundamental. Uma mensagem falsa costuma ter erros sutis, que expõem as suas verdadeiras intenções.

Entre os sinais mais comuns, encontramos erros ortográficos ou mínimas variações nas URLs. 

Uma das perguntas que você tem que se fazer quando chegar um e-mail que você não receberia normalmente é: por que me mandaram esse e-mail? É bom demais para ser verdade?

Procurar informação e se educar sobre o assunto também pode ajudar a diminuir a ameaça de ataques de phishing, é um hábito que você tem que cultivar.